WinSvr2008 триггер на ЕventViewer / Windows

ReSQL.ru

2.0.61

Полная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Windows [игнор отключен] [закрыт для гостей] / WinSvr2008 триггер на ЕventViewer / 2 сообщений из 2, страница 1 из 1

21.09.2012, 16:40

#37967689

Cheerful Calf

Участник

Откуда: Lithuania
Сообщения: 7 655
Рейтинг: 0 / 0

WinSvr2008 триггер на ЕventViewer

Настроил триггер на ивент (unsuccesful login)
Security_Microsoft-Windows-Security-Auditing_4625

он запускает vbs, который отсылает емайл и другую инфу.
Как из этого vbs узнать имя акаунта, который не смог залогиниться?
Или как настроить фильтр, чтобы ивент срабатывал только на определённых юзеров (картинка)?

Если пишу там v.pupkin - нет никаких записей, хотя в ивенте именно

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.

An account failed to log on.

Subject:
	Security ID:		SYSTEM
	Account Name:		****$
	Account Domain:		*****
	Logon ID:		0x3e7

Logon Type:			10

Account For Which Logon Failed:
	Security ID:		NULL SID
	Account Name:		v.pupkin
	Account Domain:		****

Failure Information:
	Failure Reason:		Unknown user name or bad password.
	Status:			0xc000006d
	Sub Status:		0xc000006a

Process Information:
	Caller Process ID:	0x14f0
	Caller Process Name:	C:\Windows\System32\winlogon.exe

.....

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

21.09.2012, 17:08

#37967716

Cheerful Calf

Участник

Откуда: Lithuania
Сообщения: 7 655
Рейтинг: 0 / 0

WinSvr2008 триггер на ЕventViewer

Во как надо )

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security"> 
                 *[EventData[Data[@Name='SubjectUserName'] and (Data='v.pupkin')]] 
                 and 
                 *[System[(EventID='4625')]] 
               </Select>
  </Query>
</QueryList>

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Форумы / Windows [игнор отключен] [закрыт для гостей] / WinSvr2008 триггер на ЕventViewer / 2 сообщений из 2, страница 1 из 1

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&tablet=1&tid=1496365]:	0ms
get settings:	6ms
get forum list:	10ms
check forum access:	2ms
check topic access:	2ms
track hit:	132ms
get topic data:	6ms
get forum data:	2ms
get page messages:	22ms
get tp. blocked users:	1ms
others:	228ms

total:	411ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы